Microsoft schließt gefährliche SharePoint-Lücke – Angriffe treffen Europa bereits
Der US-Technologiekonzern Microsoft hat am Sonntag ein außerplanmäßiges Sicherheitsupdate für eine schwerwiegende Schwachstelle in Microsoft SharePoint veröffentlicht, die derzeit aktiv ausgenutzt wird. Die Lücke betrifft ausschließlich lokale (on-premises) Installationen und wird unter der Kennung CVE-2025-53770 geführt. Sie ermöglicht potenziellen Angreifern die vollständige Ausführung von Schadcode über das Internet – mit einem CVSS-Schweregrad von 9.8/10stuft Microsoft sie als kritisch ein. Darüber berichtet Renewz.de unter Berufung auf The Hacker News.
Was ist die Bedrohung
Laut Microsoft handelt es sich um eine Remote Code Execution (RCE)-Schwachstelle, die durch die Deserialisierung nicht vertrauenswürdiger Daten in SharePoint-Servern entsteht. Bereits seit dem 18. Juli 2025 beobachten Sicherheitsexperten konkrete Angriffsaktivitäten gegen Organisationen weltweit – darunter Behörden, Universitäten, Banken und Krankenhäuser.
Die Angreifer verschaffen sich über SharePoint Zugriff auf interne Systeme und umgehen gängige Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung (MFA) oder Single Sign-On (SSO). Sie installieren Hintertüren, entwenden Verschlüsselungs- und Zugriffsschlüssel und durchsuchen interne Dokumente, E-Mails und gespeicherte Daten in angebundenen Microsoft-Diensten wie Outlook, OneDrive, Teams und Office.
„Wenn Ihre SharePoint-Instanz öffentlich zugänglich ist, sollten Sie davon ausgehen, dass Sie kompromittiert wurden“, warnt Michael Sikorski, CTO bei Palo Alto Networks gegenüber The Hacker News.
Welche Systeme sind betroffen
Die Schwachstelle betrifft nur lokale SharePoint-Server. SharePoint Online in Microsoft 365 ist nicht betroffen.
Betroffene Versionen:
| Produkt | Version |
|---|---|
| SharePoint Server 2019 | 16.0.10417.20027 |
| SharePoint Enterprise Server 2016 | 16.0.5508.1000 |
| SharePoint Subscription Edition | – |
| SharePoint Server 2019 Core | – |
Zusätzlich wurde eine zweite Sicherheitslücke mit der Kennung CVE-2025-53771 entdeckt (CVSS 6.3). Dabei handelt es sich um eine Spoofing-Lücke durch unzureichende Pfadvalidierung („Path Traversal“).
Microsoft betont, dass diese beiden Lücken mit bereits bekannten Schwachstellen (CVE-2025-49704 und CVE-2025-49706) zusammenhängen und zusammen ausgenutzt werden können – insbesondere in der Angriffskette „ToolShell“, die bereits im Juli-Patch Tuesday behandelt wurde.
Wie sollten Unternehmen reagieren
Microsoft empfiehlt folgende Sofortmaßnahmen:
- Umgehende Installation der aktuellen Sicherheitsupdates
- Verwendung nur unterstützter SharePoint-Versionen
- Aktivierung der AMSI-Funktion (Antimalware Scan Interface) im Full Mode
- Einsatz eines leistungsstarken Antivirenprogramms wie Microsoft Defender Antivirus
- Rotation der ASP.NET-Machine-Keys nach dem Update
- Neustart von IIS auf allen SharePoint-Servern
Falls AMSI nicht aktiviert werden kann, muss die Schlüsselrotation nach der Installation des Updates erfolgen.
Reaktion der Behörden
Die US-Behörde für Cybersicherheit (CISA) hat CVE-2025-53770 in ihren Katalog „Known Exploited Vulnerabilities“ aufgenommen und verlangt von US-Bundesbehörden, das Update bis zum 21. Juli 2025 zu installieren.
Laut dem Sicherheitsunternehmen Eye Security wurden bereits mindestens 54 Organisationen weltweit kompromittiert, darunter mehrere europäische Einrichtungen.
Einschätzung: Mehr als nur ein IT-Problem
Diese Schwachstelle hat das Potenzial, als eine der schwerwiegendsten Sicherheitskrisen des Jahres in die Geschichte einzugehen. Sie betrifft zentrale IT-Infrastrukturen weltweit. Besonders besorgniserregend ist die Tatsache, dass SharePoint eng mit vielen Microsoft-Produkten verbunden ist – ein erfolgreicher Angriff kann das gesamte Unternehmensnetzwerk öffnen.
„Ein einfacher Patch reicht nicht. Wer betroffen ist, muss mit einem vollständigen Incident Response rechnen“, so Sikorski weiter.
Bleiben Sie informiert! Lesen Sie auch: Microsoft Windows 10: Support Läuft 2025 Aus – Was Nutzer Jetzt Wissen Müssen